6.12. Документація

Важливо, щоб правила роботи з брандмауером і параметри його конфігурації були добре документовані, своєчасно оновлювалися і зберігалися в безпечному місці.

Це гарантуватиме, що при неможливості зв'язатися з адміністратором брандмауера або при його звільненні, інша досвідчена людина зможе після прочитання документації швидко здійснити адміністрування брандмауера. У разі проникнення така документація також допоможе відновити хід подій, що призвели за собою цей інцидент з безпекою.

6.13. Фізична безпека брандмауера

Фізичний доступ до брандмауера повинен строго контролюватися щоб уникнути несанкціонованих змін конфігурації брандмауера або його стану, а також для того, щоб не можна було спостерігати за роботою брандмауера. Крім того, повинна бути пожежна і інша сигналізація і система створення архівних копій, що дозволяють гарантувати безперебійну роботу брандмауера.

Брандмауер організації повинен знаходитися в окремому приміщенні, доступ в яке дозволений тільки відповідальному за мережеві сервіси, адміністраторові брандмауера і адміністраторові архівних копій брандмауера.

Кімната, в якій знаходиться брандмауер, повинна бути обладнана пожежною сигналізацією і кондиціонером для того, щоб можна було гарантувати її нормальний стан. Розміщення і стан вогнегасників повинні регулярно перевірятися. Якщо є джерела безперебійного живлення, то брандмауер повинен бути обов'язково підключений до одного з них.

6.14. Дії при спробах порушення безпеки

Повідомлення про інцидент - це процес, за допомогою якого певні аномальні події фіксуються в журналах і повідомляються адміністраторові брандмауера. Потрібна політика, в якій визначалися б типи записів в журналах про особливі події і порядок дій при появі подібних записів. Це повинно бути узгоджено із загальним порядком дій при інциденті з безпекою. Наступні правила доречні для всіх середовищ.

Брандмауер повинен конфігуруватися так, щоб створювалися щоденні, щотижневі і щомісячні звіти, для того, щоб при необхідності можна було проаналізувати мережеву активність. Журнали брандмауера повинні аналізуватися кожного тижня для виявлення слідів атак.

Адміністратора брандмауера повинен повідомлятися у будь-який час про атаку за допомогою електронної пошти, пейджера, або інших засобів, щоб він міг відразу ж зробити необхідні контрзаходи. Брандмауер повинен виявляти спроби сканування або зондування, щоб не відбувалося просочування інформації, що захищалася, за межі брандмауера. Аналогічним чином він повинен блокувати роботу всіх типів програм, які, як відомо, представляють загрозу безпеці мережі (таких як ACTIVEX і Java) для посилення безпеки мережі.

6.15. Відновлення сервісів

При виявленні факту проникнення, брандмауер повинен бути відключений і переконфігурується. Якщо необхідно відключити брандмауер, може знадобитися також відключитися від Інтернету або перейти на запасний брандмауер - внутрішні системи не повинні бути підключені до Інтернету безпосередньо. Після переконфігурації брандмауер повинен бути включений знову і запущений в роботу. Потрібні правила відновлення брандмауера до робочого стану після проникнення.

Якщо відбулося проникнення, адміністратор брандмауера відповідає за переконфігурацію брандмауера для захисту всіх вразливих місць, що використалися. Брандмауер повинен бути відновлений в початковий стан, щоб мережа знаходилася під захистом. На час відновлення повинен використовуватися запасний брандмауер.

6.16. Удосконалення брандмауера

Часто необхідно провести оновлення програмного забезпечення брандмауера і його апаратної частини для того, щоб його продуктивність була оптимальною.

Адміністратор брандмауера повинен бути обізнаний про всі апаратні і програмні помилки, а також про доопрацювання програм, здійснюваних виробником брандмауера. Якщо оновлення необхідне, слід прийняти певні обережності, щоб зберігався високий рівень безпеки. Нижче приведені приклади політик безпеки для оновлень:

Для оптимізації продуктивності брандмауера слід виконувати всі рекомендації виробника відносно потужності процесора і об'єму оперативної пам'яті. Адміністратор брандмауера повинен проводити оцінку можливостей кожної нової версії програмного забезпечення брандмауера на предмет необхідності установки доопрацювань. Всі модифікації виконуваної коди (патчи), рекомендовані виробником брандмауера, повинні робитися оперативно .

Апаратні і програмні компоненти повинні виходити з джерел, рекомендованих виробником. Всі доопрацювання специфічних програм брандмауера повинні виходити у самого виробника. Для отримання програм не повинен використовуватися NFS. Методами, що рекомендуються, є використання CD-ROMа, перевіреного на віруси, або FTP-сервера на сайті виробника. Адміністратор брандмауера повинен бути підписаний на список розсилки виробника брандмауера або іншим способом отримувати інформацію від виробника про всі необхідні доопрацювання. Перед застосуванням доопрацювання до брандмауера адміністратор повинен упевнитися у виробника, що доопрацювання потрібне. Після доопрацювання брандмауер повинен бути протестований на предмет правильності роботи перед початком експлуатації.

6.17. Перегляд політики безпеки для брандмауера

Із-за постійної появи нових технологій і тенденції організацій вводити нові сервіси, політика безпеки для брандмауера повинна регулярно переглядатися. Якщо мережа змінилася, це треба робити обов'язково.

6.18. Системні журнали (повідомлення про події і підсумкові звіти)

Більшість брандмауерів надають великі можливості по протоколюванню трафіку і мережевих подій. Деякими з подій, що мають відношення до безпеки, які повинні фіксуватися в журналах брандмауера, є: апаратні і дискові помилки, підключення і відключення користувачів, тривалість з'єднань, використання привілеїв адміністратора, вхідний поштовий трафік, спроби встановлення TCP-соединений, типи вхідного трафіку проксі-серверів, що виходить, що виходить.

6.19. Приклади політик

Низький ризик

Користувач

Всі користувачі, яким потрібний доступ до Інтернету, повинні робити це, використовуючи схвалене організацією програмне забезпечення і через Інтернет-шлюзи організації. Між нашими приватними мережами і Інтернетом встановлений брандмауер для захисту наших комп'ютерів. Співробітники не повинні намагатися обійти його при з'єднанні з Інтернетом за допомогою модемів або програм для мережевого тунеллирования.

Деякі протоколи були блоковані або їх використання обмежене. Якщо вам потрібний для виконання ваших обов'язків якийсь протокол, ви повинні звернутися до начальника вашого відділу і відповідальному за безпечне використання Інтернету.

Начальник відділу

Повинен бути поміщений брандмауер між мережею компанії і Інтернетом для того, щоб запобігти доступу до мережі компанії з ненадійних мереж.